Подражатели имитируют новую атаку на цепочку поставок в попытке заработать вознаграждение

Подражатели имитируют новую атаку на цепочку поставок в попытке заработать вознаграждение

С помощью новой атаки ИБ-эксперту удалось взломать десятки крупных техкомпаний, включая Microsoft, Apple, PayPal и Tesla.

За последнюю неделю в репозитории NPM появилось более двух сотен новых пакетов, имитирующих PoC исследователя, которому удалось взломать более 35 крупных технологических компаний.

Речь идет о новом типе атаки на цепочку поставок под названием «несоответствие используемых зависимостей» или «подстановочная атака» (dependency confusion), ранее описанной ИБ-экспертом Алексом Бирсаном (Alex Birsan) и отдельно Microsoft. С помощью этой атаки исследователь смог запустить вредоносный код на системах десятков крупных технологических компаний, в том числе Microsoft, Apple, PayPal, Tesla, Uber, Yelp и Shopify.

Метод предполагает эксплуатацию конструктивной недоработки в безопасности хранилищ открытого кода для подмены частных зависимостей, используемых крупными компаниями. Зарегистрировав имена внутренних библиотек в общедоступных каталогах пакетов с открытым исходным кодом, Бирсан успешно внедрил вредоносный код в такие репозитории как npm, PyPI и RubyGems, из которых впоследствии его ПО распространялось дальше по цепочке доставки обновлений.

Как сообщили специалисты компании Sonatype, спустя 48 часов после публикации исследования Бирсана репозиторий NPM наводнили пакеты, имитирующие PoC эксперта, с пометкой «только для исследовательских целей». Специалисты полагают, что таким образом подражатели пытаются получить вознаграждения в рамках программ по поиску уязвимостей.

«Вполне ожидаемо, что другие «охотники за уязвимостями» или даже злоумышленники начнут загружать пакеты, и я не могу влиять на их действия», - пояснил Бирсан в разговоре с изданием Bleeping Computer.

По словам специалистов Sonatype, большинство из опубликованных пакетов-имитаторов содержат идентичный код, отправляющий DNS-запросы на сервер Бирсана, обладают той же структурой, наименованием версий и комментариями в коде. Хотя исследователи не обнаружили вредоносных пакетов, они предупредили, что злоумышленники вполне могут воспользоваться ситуацией в своих целях, и если администраторы открытых репозиториев не внедрят надежные механизмы проверки при публикации пакетов, «подстановочные атаки» станут серьезным подспорьем для более сложных вредоносных кампаний.


В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!